Abbiamo cercato di capire per quale motivo molte aziende non hanno ancora provveduto ad attuare le misure necessarie per adeguarsi a quanto disposto dal nuovo regolamento europeo in materia di protezione dei dati, esecutivo dal prossimo 25 maggio. L’idea che ci siamo fatti, sulla base delle risposte ricevute da alcuni nostri interlocutori, è che a quanto pare le piccole aziende -presenti in un numero elevato sul nostro territorio- si sentono “esenti” dalla compliance in virtù della loro ridotta attività. Tuttavia, questa concezione è sbagliata: anche le piccole e piccolissime aziende, che effettuano trattamento di dati personali sono coinvolte. Inoltre, cosa ancora più sconcertante per questi “piccoli titolari”, il GDPR non prevede meri adempimenti burocratici da rispettare, ma sostanza da implementare. In altre occasioni abbiamo difatti spiegato come adeguarsi al GDPR possa comportare una sorta di cambiamento nella mentalità aziendale in un’ottica di lungo periodo.

Cerchiamo di essere ancora più chiari: questa cosa dell’essere adempienti non deve spaventare i piccoli imprenditori che dovranno attuare una serie di misure proporzionalmente inferiore rispetto a quelle di una grande azienda (meno male!). È dunque opportuno che i piccoli imprenditori rispettino la regola Sapere-Intervenire-Mantenere-Provare.

  • Sapere: significa che devono avere ben chiari i principi del GDPR e la situazione della propria azienda (e dei propri trattamenti) rispetto ai requisiti del GDPR.
  • Intervenire: significa implementare le azioni necessarie, in relazione alla propria situazione. Una prima e basilare attività da compiere sarà quella di adeguare l’informativa sulla privacy in base ai principi del nuovo regolamento e, non da meno, fare un minimo di formazione ai propri collaboratori sulle regole del GDPR e sulle procedure aziendali per essere conformi.
  • Mantenere: come accennato in precedenza, il GDPR non richiede solo il semplice adempimento di oneri burocratici (redigere nuovi documenti ecc.) ma impone di proteggere i dati che vengono trattati. Per cui oltre a “predicare bene”, bisognerà “razzolare altrettanto bene”: i titolari dovranno fare in modo che le procedure vengano rispettate e che ogni novità aziendale sia studiata fin dall’inizio in conformità con il GDPR. Un semplice esempio: la nostra piccola attività assume un nuovo dipendente; qualunque sia la sua mansione egli dovrà essere messo subito a conoscenza delle regole da seguire e degli strumenti per farlo.
  • Provare: significa che il titolare (compreso quello piccolo) in qualunque momento sia necessario dovrà essere in grado di documentare di aver seguito le regole sopracitate e di stare trattando i dati personali altrui in conformità al nuovo regolamento.

Sara Avanzi